Red Seguridad 102

62 red seguridad tercer trimestre 2023 monográfico salud 5.0 Compromiso y liderazgo activo. La di- rección debe comprometerse y liderar activamente los procesos formativos y de concienciación. Para ello debe proporcionar los recursos necesarios para garantizar que se priorice y se fi- nancie la formación y concienciación en ciberseguridad, entendiendo que la inversión en este ámbito no es un gas- to, sino una medida estratégica para proteger la organización. Asimismo, ha de ser la encargada de aprobar y supervisar la puesta en prác- tica de los planes de formación y con- cienciación, respondiendo legalmente en caso de incumplimiento, tal como prevé la Directiva NIS 2, que debe tras- ponerse al ordenamiento jurídico espa- ñol antes de finales del año que viene. Además, tiene que asistir de manera periódica a formaciones personaliza- das de gestión de riesgos de ciberse- guridad, así como alentar y fomentar regularmente la adquisición de cono- cimientos y destrezas suficientes de sus empleados. Capacitación personalizada. Las ac- ciones de formación y concienciación deben ser periódicas y adaptarse a los heterogéneos perfiles profesionales sa- nitarios, con diferentes roles, responsa- bilidades y conocimientos respecto al mantenimiento de la seguridad de los datos y la privacidad de los pacientes. Según el tamaño de la organiza- ción, se trata de una tarea compleja, pero fundamental, para garantizar que todos comprendan los riesgos y sepan cómo proteger la información que ma- nejan. En algunos casos, se impartirá formación y concienciación básica; en otros especializada, pero siempre personalizada. De lo profesional a lo personal. Para poder inculcar una cultura de seguri- dad efectiva es esencial transformar la ciberseguridad en un tema acce- sible y comprensible para todos los profesionales sanitarios, fomentando un cambio en su actitud y una mayor sensibilidad ante los riesgos, tanto en su vida laboral como personal. En este sentido, las actividades for- mativas y de sensibilización deben ser variadas (campañas de ingeniería so- cial, eventos, formación con la familia, campañas para un riesgo específico, etcétera) y centrarse en situaciones de la vida real, lo que facilita el apren- dizaje vivencial. Esto permite reforzar la retención y aplicación de conoci- mientos tanto en el ámbito profesional como familiar. Mejora continua. Los programas de for- mación y concienciación han de funda- mentarse en la mejora continua, como todos los procesos que conforman la ciberseguridad. Los conocimientos deben adaptarse a la evolución de las amenazas y riesgos cambiantes. Para ello, implementar un proceso de revisión y retroalimentación de los programas es primordial para adaptar- se y anticiparse a las nuevas formas de ataque. De esta forma, la forma- ción y concienciación en ciberseguri- dad se presenta como algo continuo y activo, en vez de pasivo y único. Evaluación. En una cultura de ciber- seguridad sólida es indispensable dis- poner de métricas para demostrar el éxito. Por ese motivo, definir objetivos claros, establecer indicadores clave de rendimiento y realizar evaluaciones periódicas permiten ver el grado de funcionamiento y ajustes de las me- didas formativas y de concienciación implementadas. Esta retroalimenta- ción constante es vital para que nues- tros programas sean efectivos. Conclusión No podemos evitar que sigan produ- ciéndose ciberataques, pero formar y concienciar a los profesionales con la in- formación necesaria para reconocer las ciberamenazas y reaccionar ante ellas es un remedio eficaz que disminuye el riesgo y ayuda a implantar una cultura de ciberseguridad en cualquier institu- ción sanitaria.